Дивный новый мир уже пришел к вам. Компьютер под тотальным внешнем контролем
Знаете ли Вы, что дистанционно подключиться к вашему компьютеру можно без использования не только сетевых драйверов операционной системы, но и вообще без самой ОС?
Даже можно зайти в BIOS удалённо, и вообще сделать с компьютером всё,
что угодно - в том числе скачать содержимое винчестеров, стереть их, и
наглухо отключить компьютер навсегда, превратив его в бесполезный кусок
железа.
Технология эта вполне официальна, она называется Intel vPro
и реализована аппаратно в процессорах Intel Sandy Bridge и Ivy Bridge.
На самом деле кроме процессора требуется еще и соответствующий чипсет -
но в этом нет проблемы, ибо чипсеты давно поставляет сам Интел. В
идеале в материнскую плату должна быть встроена гигабитная сетевая
карта и видеоадаптер, которые способны на низкоуровневую работу (а еще
более в идеале - и такой же WiFi). И опять же не волнуйтесь - Intel всё
это реализовал и сделал стандартом де-факто. Наиболее дальновидных ребят
давно удивляло, зачем в десктопной материнке встроен WiFi интерфейс, не
нужный в 99% десктопов - так вот он встроен для дела, чтобы можно было
получить доступ к компьютеру, даже не подключаясь к локальной сети, и
даже к компьютеру, который стоит в отдельной комнате ни к какой сети не
подключенный.
Разумеется, то, что вы там в БИОСе выключили этот
вайфай - никак доступу не помешает. Для Intel vPro все интерфейсы
всегда работают. Более того - "выключенный" компьютер для Intel vPro
тоже работает (хоть и не светит лампочками об этом). Единственный способ
отрубить компьютер от Intel vPro - это обесточить его, удалив шнур
питания из розетки (но по понятным причинам этот номер не пройдет с
ноутбуками - батареи-то на большинстве современных аппаратов несъемные, и
это не просто так сделано).
Сеанс связи шифруется, а доступ к
компьютеру можно получить через консоль (serial over LAN), web-интерфейс
или VNC. Web-интерфейс обладает неприметным рабочим дизайном (который
при этом отлично отображается на планшетах) и позволяет получать
статистику о железе, его состоянии и перезапускать компьютер,
настраивать сетевой интерфейс и политики доступа к AMT, смотреть историю
событий – например, узнать, почему же у секретарши не грузится система,
не подходя к её компьютеру:
При подключении через консоль и VNC можно делать уже совсем всё: vPro
предоставляет полноценный KVM с локальной машины на удалённую с
поддержкой разрешения экрана до 1920х1200 и возможностью посмотреть, как
загружается система от инициализации BIOS до непосредственной загрузки
ОС. При этом даже при перезагрузке системы не происходит отключения!
Единственное что для доступа в BIOS не получится просто зажать Delete
при старте системы и надо будет выбрать специальный пункт «boot to
BIOS». После чего в самом деле загружается BIOS:
Можно подключиться к удалённой машине по VNC даже в том случае, если
там слетели драйвера сетевой карты (ведь vPro работает на более низком
уровне чем ОС) и прямо через VNC поставить все драйверы.
Еще
одна интересная возможность под название IDE-R позволяет загружаться с
внешнего источника - как будто это внутренний жёсткий диск. То есть
можно подключиться по VNC, указать образ для загрузки, и загрузиться в
собственной операционной системе - так что владелец компьютера и не
узнает, что его включали.
При помощи vPro работает технология
Intel Anti-Theft. Если у вас украли компьютер или
ноутбук, то вы можете связаться с Intel и они заброкируют его. Компьютер
просто перестанет загружаться, показывая черный экран с надписью - мол,
заблокировано Intel Anti-Theft, верните компьютер владельцу.
Совсем скоро, когда поколение компьютеров в очередной раз сменится даже у
самых нетребовательных пользователей, а у прогрессивных компаний и того
раньше - дивный новый мир абсолютной прозрачности для спецслужб придет повсюду.
PS. Тут товарищ спросил - мол получается, что выключенные компы можно пинговать?
Объясняю:
в рамках Intel vPro cетевая карта слушает линию всегда, даже если
компьютер "выключен". Но не всегда отвечает. То есть на вопрос «можно ли
пинговать» — ответ да, можно,
если это разрешить в настройках BIOS. Если не разрешить, то выключенный
комп на
пинг отзываться не будет, но свой порт (в общем случае это 16992)
слушать будет и с Intel vPro работать будет.
Проверялось на чипсете Q45 - работает.
PPS.
Cтарые чипсеты Intel и их CPU без GPU поддерживают только
Serial-over-LAN часть технологии Intel vPro (то есть текстовая консоль
управления работает, файлы можно скачивать, работает дистанционная
загрузка операционки с удаленного диска и так далее, но не работает
слежение за экраном пользователя и графическая консоль).
Для любопытных - IDE-R/SOL over TCP порт = 16994, IDE-R/SOL over TLS порт = 16995. Можете поснифить трафик в линии и посмотреть.
Ну
и помните, что AMT fireware аппаратно перехватывает трафик с сетевой
карты и не передает в ОС то, что касается работы vPro (порты 16992,
16993, 16994, 16995). То есть на компе с этой технологией никакие пакеты
на порты 16992, 16993 и так далее вы из ОС не получите и не обнаружите.
Чтобы их надежно найти - нужен старый комп со старыми сетевухами,
реализующий прозрачный повторитель Stay-In-Middle и снифящий трафик.
И да, разумеется:
(а) Интел хранит возможность доступа к любой машине (б) Может узнать, где она, и может с ней связаться в любой момент (в) Может полностью ее заблокировать (при этом она будет продолжать подавать сигналы с координатами)
Ну
и чтобы не было лишних иллюзий - про Интел я говорю только потому, что у
него эта технология совершенно открыта и официально описана. Intel
повел себя очень грамотно - бэкдор для спецуры не скрывается и не
отрицается, а выдается за дополнительный сервис для пользователя и
администратора. Аналогичные решения есть и у AMD, и у всех остальных
крупных игроков на рынке микропроцессоров - просто они не столь честны,
как Intel, и предпочитают играть в умолчание.
Источник: Такие Новости ---------------------------------------
Актуальные комментарии:
В голове не укладывается: если правильно понял, комп стоит выключенный,
т.е. питание на проц и прочее железо не подано, а на нем кто-то удаленно
работает?
------------------------------------
Интересно. А если у меня трукрипт стоит (шифрование на лету), то по
логике, на удалённой машине увидят только зашифрованные данные? Или я не
прав? ---- - Они увидят прямо ваш экран. И увидят, что вы набираете в качестве пароля.
Они увидят прямо ваш экран. И увидят, что вы набираете в качестве пароля. ------------------------------------
Сливать то, что вы тыкаете на клавиатуре - это банальщина, там и трафик
мизерный. Более того - в составе vPro есть такая хитрая штука, как
контроль исполнения приложений. Она позволяет определять с уровня vPro,
когда и какие приложения вы запускаете, и автоматически производить
некоторые действия. Например, когда трукрипт спрашивает у вас пароль -
это определяется, и дальше в лог vPro сливается точно то, что вы
набираете. Чуть сложнее это делается, если вы натыкиваете пароль мышкой.
Имея уровень исполнения приложения круче, чем уровень ядра ОС -
и тем более на независимом процессоре - ничего не является невозможным.
-------------------------------------------
Интересно, где встроенный Wi-Fi возьмет открытую сеть. Дураков уже нет, кругом все шифрованно.
- Да, вы правы - к этому давно шло. Собственно, Intel один из главных
разработчиков IPMI, поэтому vPro имеет некоторые похожие черты.
Но разница принципиальная есть, и она вот в чем. IPMI все-таки
ориентировалась на сервера и требовала специфического железа - в то
время как vPro встраивается непосредственно в каждый новый процессор и
чипсет для десктопов и ноутов, обеспечивая ТОТАЛЬНОЕ ПОКРЫТИЕ этой
технологией всех машин в округе. И это меняет ситуацию.
Вот вы
говорите - "Интересно, где встроенный Wi-Fi возьмет открытую сеть". Это
всё потому, что вы не поняли концепцию. Intel vPro не нужна открытая
сеть - их идея совершенно в другом. Они поднимают точку доступа WiFi
динамически на любом соседнем компьютере, к которому удалось
достучаться, и через нее соединяются посредством WiFi с теми компами
поблизости, до которых не достучаться физически (скажем, комп вообще не
включен в локальную сеть). WiFi используется для преодоления физически
изолирующего гапа. И вот так они протягивают ниточку от машины к машине
куда угодно.
Причем протокол WiFi там хитрый - обычные компы с
WiFi вам не покажут никакую внезапно появившуюся точку доступа,
поскольку стандартной точки нет. Поднятая точка гонит через WiFi хитрую
широковещательную посылку, которая не является анонсом по стандарту, но
ее принимают машины с WiFi vPro и отвечают точке, сообщая сведения о
себе. Всё это идет криптованное и таким образом, чтобы не отображаться
как нормальная работа интерфейса.
Собственно, если вы знаете
IPMI, вы должны знать и смежную технологию Intel AMT. Это аппаратная
технология, предоставляющая удаленный, и внеполосный (по независимому
вспомогательному каналу TCP/IP) доступ для управления настройками и
безопасностью компьютера независимо от состояния питания и состояния ОС.
Так вот Intel vPro это развитие технологии AMT.
Ключевой
момент там - это то, что на уровне процессора та ОС, которую вы грузите и
исполняете на компьютере, на самом деле исполняется в виртуальной
машине Intel. А на нулевом уровне крутится супервизор, который
обеспечивает независимое от вашей ОС функционирование системы Intel
vPro/AMT и управление тем, что вашей ОС доступно, а что - нет.
Чипсеты (или процессоры), поддерживающие технологию vPro, содержат
независимый микропроцессор (архитектура ARC4, обычно принятая частота
работы 62.5 MHz), имеют отдельный интерфейс к сетевой карте,
эксклюзивный доступ к выделенному участку ОЗУ (16 МБ), DMA-доступ к
основной ОЗУ. Программы на нем выполняются независимо от центрального
процессора. Частью прошивки является встроенный веб-сервер. Всё это
работает даже в режиме питания S3 Sleep. Вы ведь в курсе, что такое S3
Sleep?
------------------------------------------
Короче, почитал я на хабре
(_http://habrahabr.ru/company/intel/blog/138377/) про этот Intel vPro -
не так страшен чёрт, как нам его намалевали. Работает он только на прцессорах Intel Sandy Bridge и Ivy Bridge (и то с
определёнными чипсетами). И создана эта фича больше для айтишников,
которым нужно удалённо управлять сразу десятками машин, а не бегать от
одного компа к другому, чтоб поставить, например, драйвера для монитора
или ещё что то в этом роде. как то так.. -----------------------------------------
Всё гораздо хуже, чем думают наивные с хабра. Вам сюда:
Технология доступна начиная с чипсета 82573E (ICH7), Q963/Q965 (ICH8) и мобильной Интел Центрино начиная с GM965/PM965.
То есть за вами смотрят начиная с материнок на чипсете i945. То есть с 2005 года.
Просто до уровня Intel AMT 6.0 доступ ограничивался возможностью
текстовой консоли, скачивания-закачивания файлов и мониторинга ваших
действий (например, перехвата всего, что вы набираете на клавиатуре).
Начиная с Intel Core i5 и i7 пошла AMT 6.0, которая обеспечивает
перехват непосредственно графического экрана до весьма высоких
разрешений, и непосредственное управление вашей ОС как через ремот
админа - только путем симуляции работы клавиатуры, мыши и прочего на
аппаратном уровне.
------------------------------------------
Сноуден же говорил, что АНБ умеет включать видеокамеры на нетбуках и
планшетах без включения индикации об этом. И смотреть на вас.
Теперь выясняется, что для этого не нужно даже ломать ОС и ставить в нее
шпионов - шпион живет отдельно, в собственном процессоре.
------------------------------------
"слизать" картинку с вебки или звук с микрофона не так уж и сложно. и
знать об этом никто не будет. при определенных навыках даже
журналирование можно почистить. вот только... почитайте документацию к
ClamAV. ----------------------------------
отключил ноут от сети, снял батарейку,разобрал корпус, снял батарею с
биоса,запер остатки в металический сейф ,который перед этим
заземлил, лёг спать спокойно . Никто не доберётся до моего аккаунта в
одноклассниках.
-)) на утро ,собрав всё в обратном порядке, начал спамить на свой аккаунт -злодеи долго будут добираться до истины
-)) --------------------------------------
Ну пусть все так. Как же жить дальше? Например, я хочу сохранить
конфиденциальность своей деятельности по некоторому направлению и быть
уверенным в том, что Большой Брат до меня не достучится.
---------------------------------- Вот это правильная постановка вопроса. -----------------------------------